Wczoraj napisałem notkę ( https://www.salon24.pl/u/threeme/1496340,jest-tak-zle-ze-az-dobrze), w której odniosłem się do tez serwowanych przez blogera @Wyborca Polski. Przedstawiłem dowody i przykłady, oczywiście w formie mocno, mocno skrótowej - ilość wątków i zagadnień oraz waga wątków poruszonych przez tego blogera jest tak liczna, że na szczegółowe odniesienie do nich wszystkich trzeba poświęcić dużo więcej czasu i energii. Dziś postaram się o bardziej szczegółowe sprostowanie kłamstw z komentarza @Wyborca Polski oraz odniosę się do obrony tych tez przez samego zainteresowanego i innych blogerów.
Przypomnę tu te tezy z komentarza blogera @Wyborca Polski i nieco rozszerzę je jeszcze, by utrudnić sobie życie::
1. " W skutek złej architektury KSeF dane firm wypływają poza PL "
Oczywiście nie jestem specjalistą od systemów IT czy też cyberbezpieczeństwa. Tak samo zresztą, jak Wyborca Polski i większość komentujących tu blogerów. Siłą rzeczy więc musimy zdać się na opinię zewnętrzną, ludzi którzy poruszają się w tym temacie. Wiem też, że nie ma na świecie 100% bezpiecznych systemów, można "tylko" maksymalnie utrudnić nieuprawniony do nich dostęp i wbudować alarmy ostrzegające przed wszelkimi działaniami odbiegającymi od normy. I dokładnie to zrobiono, teoretycznie złamanie KSeF jest możliwe, ale w praktyce jest to nawet dla obcych wywiadów bardzo trudne a takie próby zostaną wychwycone przez wbudowane systemy alarmowe. Strona rządowa wielokrotnie dementowała doniesienia prasowe sugerujące w tonie sensacji, że dane z KSeF mogą wypłynąć poza PL. Strona obecnej opozycji i jej wyborców z kolei głosi i rozpowszechnia tezy alarmistyczne. Widać więc, że w tej dyskusji dużo miesza polityka, sympatie i antypatię a dyskusja merytoryczna spychana jest na boczny tor. Czy można całkowicie wierzyć stronie rządowej? Nie! Sceptyk zawsze podchodzi z ostrożnością do zapewnień (jakiegokolwiek) rządu. Niemniej jednak, na podstawie opini niezależnych fachowców można uznać zapewnienia rządowe za wiarygodne. Oczywiście nie mam nic wspólnego z tematyką cyberbezpieczeństwa, kompletnie się na tym nie znam. Podejrzewam, że tak, jak zdecydowana większość blogerów Salonu, którzy jednak chętnie się w tym temacie wypowiadają i wydają swoje osądy. Z tego powodu nie widzę nic złego w tym, by skorzystać z pomocy SI, konkretnie GEMINI:
"Czy wyciek danych z systemu KSeF jest możliwy?"
Teoretycznie tak, ale jest to skrajnie mało prawdopodobne:
Zabezpieczenia systemu:
1. Uwierzytelnienie i autoryzacja (Brama wjazdowa)
Zanim jakakolwiek faktura zostanie wysłana lub pobrana, system musi wiedzieć, że Ty to Ty. Odbywa się to poprzez:
Podpis kwalifikowany: Najwyższy standard tożsamości cyfrowej w UE.
Pieczęć elektroniczna: Dla firm (osób prawnych), zapewniająca integralność dokumentu.
Profil Zaufany: Popularne rozwiązanie dla osób fizycznych.
Tokeny sesyjne: Generowane przez system po poprawnym zalogowaniu, ważne tylko przez określony czas.
2. Szyfrowanie danych w locie (TLS)
Wszystkie dane przesyłane między Twoim komputerem (lub systemem ERP) a serwerami Ministerstwa Finansów są chronione protokołem TLS 1.2 lub 1.3.
To oznacza, że nawet jeśli ktoś "podepnie się" pod kabel internetowy, zobaczy jedynie nieczytelny bełkot, a nie treść faktury.
3. Szyfrowanie danych "w spoczynku" (At Rest)
To krytyczny punkt dla ochrony przed wywiadami. Dane na dyskach w rządowym centrum przetwarzania są szyfrowane.
Nawet fizyczna kradzież dysku twardego z serwerowni nie pozwoliłaby na odczyt faktur bez kluczy kryptograficznych, które są przechowywane w specjalnych modułach bezpieczeństwa HSM (Hardware Security Modules). Są to urządzenia odporne na ingerencję fizyczną i logiczną.
4. Struktura dokumentu XML i walidacja
Faktura w KSeF to plik w formacie XML, zgodny z bardzo rygorystyczną strukturą (schemą).
System odrzuca każdy plik, który zawiera "nadmiarowy" kod lub skrypty. To chroni przed atakami typu Injection, gdzie haker próbuje przemycić złośliwe oprogramowanie wewnątrz faktury, by przejąć kontrolę nad serwerem.
5. Logowanie operacji (Audit Log)
Każda próba wejścia do systemu, pobrania faktury czy zmiany uprawnień zostawia trwały ślad.
Polskie służby (np. ABW czy inspektorzy MF) mogą w dowolnym momencie sprawdzić, kto i kiedy przeglądał dane konkretnej firmy. NiezalogowPolskie służby (np. ABW czy inspektorzy MF) mogą w dowolnym momencie sprawdzić, kto i kiedy przeglądał dane konkretnej firmy. Niezalogowany lub nieautoryzowany dostęp powinien teoretycznie natychmiast wywołać alarm w Centrum Operacji Bezpieczeństwa (SOC).
Słaby punkt: "Czynnik ludzki"
Mimo tych zabezpieczeń, najsłabszym ogniwem pozostaje sposób, w jaki firmy zarządzają uprawnieniami. Jeśli nadasz pracownikowi lub zewnętrznemu biuru pełny dostęp do KSeF, a oni nie zadbają o swoje zabezpieczenia (np. ich komputer zostanie zainfekowany), to zabezpieczenia rządowe ich nie powstrzymają – system uzna ich za "zaufanych użytkowników".
"czyli nieuprawniony użytkownik może teoretycznie uzyskać dostęp do faktur firmy, ale dostęp do wszystkich przechowywanych w systemie faktur jest niemożliwy? "
Dokładnie tak. W architekturze systemów takich jak KSeF kluczowe jest rozróżnienie między dostępem punktowym (do konkretnego konta) a dostępem systemowym (do całej bazy danych).
Oto jak wyglądają te dwa scenariusze w praktyce:
1. Dostęp do faktur konkretnej firmy (Ryzyko realne)
To jest najsłabsze ogniwo. Nieuprawniony użytkownik może uzyskać dostęp do Twoich faktur, jeśli:
Przejmie Twoje poświadczenia: Ukradnie login/hasło do Profilu Zaufanego lub certyfikat kwalifikowany (np. poprzez phishing).
Wykorzysta błąd w uprawnieniach: Jeśli firma nadała dostęp byłemu pracownikowi lub nierzetelnemu biuru rachunkowemu i zapomniała go odebrać.
Zainfekuje Twój system ERP: Jeśli haker przejmie kontrolę nad Twoim programem księgowym, system KSeF uzna go za autoryzowane oprogramowanie Twojej firmy.
W takim przypadku haker widzi tylko Twoje dane, a nie dane całego kraju.
2. Dostęp do wszystkich faktur w systemie (Scenariusz "Sądnego Dnia")
Dostęp do całej bazy danych KSeF (milionów faktur wszystkich firm w Polsce) jest teoretycznie niemal niemożliwy dla zwykłego śmiertelnika, ponieważ:
Segmentacja danych: Baza nie jest "jednym wielkim otwartym arkuszem". Dane są odizolowane. Aby pobrać faktury wszystkich firm, trzeba by złamać główny klucz szyfrujący przechowywany w module HSM (sprzętowy moduł bezpieczeństwa).
Brak "przycisku pobierz wszystko": API systemu (interfejs komunikacyjny) wymusza podanie konkretnych parametrów autoryzacyjnych dla każdego zapytania. Nie da się wysłać zapytania "daj mi wszystkie faktury z Polski" bez wywołania natychmiastowego alarmu.
Monitoring ruchu (SOC/SIEM): Systemy bezpieczeństwa Ministerstwa Finansów monitorują nietypowe zachowania. Próba masowego pobierania danych z wielu kont naraz zostałaby wykryta przez algorytmy AI jako atak i zablokowana w milisekundach.
"Czy wywiad obcy może to zrobić?"
Dla wywiadu obcego państwa celem nie jest "włamanie się przez okno" (hasło użytkownika), ale próba znalezienia tylko im znanej luki w kodzie systemu (tzw. Zero-day exploit) lub posiadanie "swojego człowieka" wewnątrz administracji (tzw. Insider threat).
Dlatego systemy o znaczeniu państwowym przechodzą rygorystyczne audyty kodu, aby upewnić się, że nie ma w nich "tylnych drzwi" (backdoors).
Tyle Gemni. Dodatkowo:
- portal fachowców od cyberbezpieczeństwa www.niebezpiecznik.pl nie potwierdza zarzutów krytyków KSeF.
- serwery KSeF znajdują się w Polsce i to nie w jednej, centralnej, lokalizacji, ale dla większego bezpieczeństwa rozdzielone są one na mniejsze centra danych. Ich lokalizacja, rzecz jasna, jest utajniona.
- system jest pod nadzorem ABW
Oczywiście, jak pisałem wczoraj, nie ma 100% bezpiecznych systemów. Słabym punktem tutaj jest czynnik ludzki i możliwy jest teoretycznie nieuprawniony dostęp do danych pojedynczej firmy (dostęp punktowy), ale dostęp do danych całego systemu jest skrajnie mało prawdopodobny, nawet dla obcych wywiadów.
Jedziemy dalej:
2. obecnie ktoś chce 'podarować' dane z mObywatela przekazując dane do "europejskiej" wersji wyrzucając efektywnie dotychczasowe inwestycje w błoto.
Nie, wyjaśnienie jest tu: https://zero.pl/news/wiceminister-cyfryzacji-dla-zero-pl-nie-usuwamy-mobywatela
3. "U nas niestety sprzedano nabrzeża - Szczecińskie Niemcom a Gdańskie o ile pamiętam Szwedom. "
Wczoraj zagadnienie to opisałem bardzo szeroko, dziś tylko uzupełnienie i odniesienie się do kontrargumentów moich adwersarzy:
To, że jakaś firma ma 98% udziałów w podmiocie wynajmującym na kilka dekad wybrzeże Szczecińskie wcale nie znaczy, że firma ta może to wybrzeże kontrolować i w jakikolwiek sosób wpływać negatywnie na działalność portu. Są tu liczne zabezpieczenia prawne i ekonomiczne:
1. Prawo: wynajem portu i zasady działania firmy podlegają licznym przepisom prawnym Polski i Unii Europejskiej.
2. Firma działa na globalnym rynku, ma kontrakty i zobowiązania długoletnie. To armator decyduje gdzie kieruje swoje statki i gdzie wyładowuje towary kierując się logistyką i ekonomia, gdyby firma zarządzając nabrzeżem próbowała przekierować na przykład statki ze Szczecina do Hamburga to łamie długoterminowe kontrakty z armatorami i naraża się na olbrzymie straty finansowe.
3. W takiej sytuacji zarząd portu, na podstwie złamenej umowy dzierżawy może bez problemu wypowiedzieć umowę i przejąć kontrolę nad nabrzeżem.
4. Organy kontrolne z automatu podejmują działania wobec tej firmy.
Firma ryzykowałaby więc utratę koncesji, milardowe straty w polsce i na świecie (spadek zaufania armatorów), reputację w branży.
W praktyce wymajem długoteminowy państwowej właśności obcym firmom zarządzającym częścią portu jest na świecie szeroko rozpowszechniona i - na ogół, poza kilkoma wyjątkami - nie wzbudza u nikogo niepokoju. Nabrzeża portowe wynajmowane są na przykład międzynarodowym funduszom w Holandii, Niemczech, Australii, USA...
Jedyne kontrowersyjne przykłady to wynajem portu w Grecji, gdzie dopuszczono do skrajnie niekorzystnej sytuacji i praktycznie w całości oddano władze nad portem chińskiej firmie.
4. "Zatrzymano też inwestycję w nowy port promowy i zamknięto kluczową dla niego firme serwisującą wagony towarowe obok Szczecina."
Co do inwestycji to nie tylko jej nie zatrzymano, ale nawet powiększono:
Co do firmy serwisującej wagony towarowe pisałem wczoraj. Jej zamknięcie wynika z ogromnego długu PKP CARGO, długu powiększonego dodatkowo przez rządowy nakaz przewozów importowanego węgla z portów do elektrowni w 2022 roku.
5. "Atom rozwija sie w sposób taki jak za p.Grada. (czyli wersja 'stealth')"
Atom się rozwija, trwają prace przygotowawcze placu budowy pod właściwe prace budowlane, uzyskiwane są kolejne zgody licznych organów nadzoru. Przy tak gigantycznej inwestycji "papierologia" jest niezwykle obszerna, ilość zgód i pozwoleń jest bardzo duża, ale prace idą zgodnie z harmonogramem a i plac budowu jest przygotowywany, by nie tracić czasu. Wycięto drzewa (teren leśny), orodzono teren, zniwelowano grunt, przeprowadzono badania geologiczne i archeologiczne, doprowadzono prąd, ... Są to działania zgodne z przyjętym harmonogramem, pisanie więc, że nic się nie dzieje jest nieuprawnione i niesprawiedliwe...
Jak ogromna jest to skala prac widać na tym zdjęciu satelitarnym:
źródło: Forum Polskich Wieżowców.
A tu film pokazujący stan prac przygotowawczych, wcale nie najnowszy:
6. Obecnie z Inwestycji w lotnisko i sieć przewozową została linia Y czyli trasa Warszawa Berlin i Warszawa Lipsk z taborem i infrastrukturą tylko z DE.
- linia Y jest tylko i aż szkieletem przyszłej sieci połączeń. I absurdalny jest "argument", że jest to połączenie do Berlina i Lipska. Nie, jest to połączenie które ma przede wszystkim obsługiwać Polskie miasta (Warszawa, Łódź, Poznań, Wrocław) a w kolejnym etapie ma być rozbudowana o kolejne połączenia (w zasadzie to chyba nawet nie ma jeszcze decyzji jakie będą to miasta), a połączenie z Berlinem to pieśń przyszłości. Raczej dalszej, niż przyszłej, tym bardziej, że nie ma informacji, by Niemcy planowały budowę lini KDP do granicy z Polską.
Powstaje tu pytanie, czy rezygnacja z koncepcji "szprychy" proponowanej przez poprzedni rząd to błąd. Temat ten jest kontrowersyjny i wzbudza, jak widać, silne emocje. Ja jestem zdania, że szprycha to nadmiar ambicji a trzeba godzić ambicje z realiami. W ramach szprychy powstać miało wiele połączeń a przecież powszechnie wiadomo, że KDP jest bardzo droga inwestycyjnie i by istniały jakiekolwiek szanse by była w przyszłości opłacalna musi być zapewniony maksymalne wykorzystanie tych tras przez podróżnych. Czy połączenia np. do Suwałk to zapewnią, mając w świadomości fakt, że KDP na pewno będzie miało droższe bilety od zwykłych pociągów? Znów posłużę się tu przykładem Japonii (w której to, nie chwaląc się wcale, spędziłem w listopadzie osiemnaście dni), gdzie pociąg KDP nie jest ukończony i np. podróżując na bardzo ważnej trasie Kanazawa - Kioto (pierwsze miasto duże, drugie - ogromne) linia KDP jest tylko na połowie tego odcinka. Reszta trasy czeka na dokeńczenie realizacji inwestycji. Do wielu miast, bardzo dużych Shinkansen nie dociera, pomimo długoletniej rozbudowy sieci sięgającej lat 60 tych XX wieku. A my chcieliśmy od razu połączyć niemal wszystkie wieksze miasta w Polsce?!? Wadą szprychy jest też centralizacja - jadąc np. z Krakowa do do Poznania projekt szprychy wymaga połączenia przez Baranów. Jednocześnie Igrek wcale nie wyklucza realizacji koncepsji szprychy, ta powstanie, ale stopniowo, realizowane będą najpierw najbardziej opłacalne ekonomicznie połączenia.
Podsumowując, wady szprychy to:
- centralizacja połączeń
- dużo wyższy koszt budowy
- dużo dłuższy czas realizacji przedsięwzięcia, liczony w dekadach (nawet Japonia do dziś buduje swoją sieć KDP)
- niższa prędkość pociągów
A czy rząd popełnił błąd, bo wyrzucono firmę która miała za własne pieniądze realizować budowę CPK?
Firma ta miała wnieść wkład inwestycyjny w wysokości 8 mld zł, co jest ułamkiem kosztów inwestycyjnych a i na pewno nie zrobiła by tego nie licząc na korzyści - uzyskane kosztem potencjalnych przyszłych wpływów do budżetu. W realnym świecie nie ma nic za darmo, i argument Wyborcy Polskiego ja uznaję za śmieszny. Ponadto prywatny interes patrzy wyłącznie na swoje zyski, nie na Polski interes narodowy, więc oddanie nawet części kontroli nad przyszłym lotniskiem może w przyszłości generować konflikty inwestor - rząd. Sprawa inwestora prywatnego jest zresztą dużo bardziej skomplikowana, brak tu czasu i możliwości na pełny obraz sytuacji. W skrócie: rozmowy z inwestorem nadal trwają, ale po audycie uznano, że korzystniej będzie realizować przedsięwzięcie w innym modelu finansowania.
7.tabor ma być tylko z DE?
Nawet nie ma jeszcze przetargu na tabor dla lini KDP...
Przetarg ma być ogłoszony na drugą połowę tego roku a specyfikacja pociągów wyglądać ma tak:
Prędkość eksploatacyjna: Minimum 250 km/h, z możliwością (tzw. homologacją) do 300–320 km/h.
Zasilanie: Wielosystemowe (3kV DC dla obecnych linii oraz 25kV AC dla nowej linii "Igrek").
Pojemność: Składy o długości ok. 200 metrów, mogące pomieścić 400–500 pasażerów.
To ważne, bo PESA deklaruje, że jest w stanie "podciągnąć" swoją ofertę na pociągi do 250 km/h, (spełnienie warunki minimum), jednak by spełnić wymogi przetargu zarówno PESA jak i NEWAG prowadzą rozmowy z zagranicznymi firmami (PESA z Siemensem, NEWAG z hiszpańskim Talgo i Hyundai-em). Przetarg ma punktować udział polskich firm. Można też wzorować się na Hiszpani, która przy zamówieniu taboru "wymusiła" podzielenie się firm odpowiednią technologia, którą potem samodzielnie już rozwinęła. Dziś Hiszpania ma jedną z największych sieci KDP i własne firmy produkujące tabor.
8. Nowy rząd u nas wymyśla sam jak zablokować Odrę - obecnie wymyślono filie parku z Drawska jako park dolnej odry.
Temat zbyt skomplikowany na komentarz, w najbliższym czasie postaram się napisać notkę. Tu tylko skrótowo jeszcze raz wyjaśniam zwolennikom wielkiej żeglugi na Odrze, że:
Odra to nie Ren czy Dunaj (o wiele mniejsze przepływy i stany wody, latem bardzo głębokie niżówki)
Odra połączy wybrzeże z przemysłem Polski... i praktycznie tylko polski. Dalsze połączenie z południem Europy - teoretycznie możliwe - wymaga dalszych, ogromnych nakładów. Tymczasem i Odra i Ren łączą wiele państw i wiele ośrodków przemysłowych w nich. A to powoduje, że "skanalizowana" Odra nadal przegrywa konkurencję z tymi rzekami. Z hydrologią i geografią możecie się kłócić, tylko czy warto?
9. Przy okazji w tempie ekspresowym zamyka sie elektrownie Dolna Odra.
Nie, nie zamyka się. Zastępuje bloki węglowe (stare) nowymi blokami gazowymi. A co najśmieszniejsze zarzuty o to wobec obecnych władz są śmieszne i kuriozalne, bo decyzja ta zapadła w 2020 roku...
"Już 5 lat temu poprzedni zarząd PGE GiEK S.A. podjął pierwsze formalne kroki w sprawie wyłączenia bloków Elektrowni Dolna Odra i w dniu 30 grudnia 2020 r. poinformował Polskie Sieci Elektroenergetyczne o zamiarze wyłączenia tego Oddziału. Od tamtego momentu proces jest kontynuowany, co wiąże się z wygaszaniem jednostek węglowych oraz zastępowaniem ich nowymi technologiami, w tym między innymi blokami gazowo-parowymi, których budowa zakończyła się w październiku 2024 roku. We wrześniu 2025 r. spółka podjęła decyzję o opóźnieniu rozpoczętego w 2020 roku procesu wygaszania elektrowni i przeprowadzenia go w dwóch etapach."
https://www.gkpge.pl/grupa-pge/dla-mediow/komunikaty-prasowe/korporacyjne/decyzja-zarzadu-pge-giek-s.a.-czas-pracy-elektrowni-dolna-odra-zostanie-wydluzony-a-wylaczenie-blokow-nastapi-w-dwoch-etapach
Rozszerzenie listy:
10. Intel wstrzymuje inwestycje pod Wrocławiem
Tak, bo wstrzymuje inwestycje na całym świecie - wpadł w problemy finansowe. Co to ma wspólnego z polityką rządu?
Komentarze
Pokaż komentarze (27)